FERRAMENTAS LINUX: Atualização importante de segurança da Red Hat para o Red Hat Process Automation Manager, aviso RedHat: RHSA-2020-3197: 01

quarta-feira, 29 de julho de 2020

Atualização importante de segurança da Red Hat para o Red Hat Process Automation Manager, aviso RedHat: RHSA-2020-3197: 01



Confira !!

Uma atualização está agora disponível para o Red Hat Process Automation Manager. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança Moderado. Uma pontuação básica do Sistema de Pontuação de Vulnerabilidade Comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade em
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Atualização de segurança do Red Hat Process Automation Manager 7.8.0
ID do comunicado: RHSA-2020: 3197-01
Produto: Red Hat Process Automation Manager
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:3197
Data de emissão: 2020-07-29
Nomes do CVE: CVE-2019-9512 CVE-2019-9514 CVE-2019-9515
                   CVE-2019-9518 CVE-2019-10086 CVE-2019-12406
                   CVE-2019-12423 CVE-2019-13990 CVE-2019-16869
                   CVE-2019-17573 CVE-2019-20330 CVE-2019-20444
                   CVE-2019-20445 CVE-2020-1718 CVE-2020-7238
                   CVE-2020-8840 CVE-2020-9546 CVE-2020-9547
                   CVE-2020-9548 CVE-2020-10672 CVE-2020-10673
                   CVE-2020-10968 CVE-2020-10969 CVE-2020-11111
                   CVE-2020-11112 CVE-2020-11113 CVE-2020-11612
                   CVE-2020-11619 CVE-2020-11620 CVE-2020-14060
                   CVE-2020-14061 CVE-2020-14062
==================================================== ===================

1. Resumo:

Uma atualização está agora disponível para o Red Hat Process Automation Manager.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
Moderado. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que
fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
os links CVE na seção Referências.

2. Descrição:

O Red Hat Process Automation Manager é um processo de negócios de código aberto
suíte de gerenciamento que combina gerenciamento de processos e serviço de decisão
gerenciamento e permite que os usuários comerciais e de TI criem, gerenciem, validem,
e implantar aplicativos de processo e serviços de decisão.

Esta versão do Red Hat Process Automation Manager 7.8.0 serve como um
atualize para o Red Hat Process Automation Manager 7.7.1 e inclua correções de bugs
e aprimoramentos, documentados no documento Notas da versão vinculado
nas Referências.

Correção (s) de segurança:

* commons-beanutils: apache-commons-beanutils: não suprime o
propriedade de classe em PropertyUtilsBean por padrão (CVE-2019-10086)

* netty: contrabando de solicitação HTTP (CVE-2019-20444)

* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
nos cabeçalhos HTTP (CVE-2019-16869)

* netty: Contrabando de solicitação HTTP devido ao espaço em branco da codificação de transferência
manuseio incorreto (CVE-2020-7238)

* netty: HTTP / 2: flood usando frames vazios resulta em recursos excessivos
consumo (CVE-2019-9518)

* netty: HTTP / 2: flood usando quadros HEADERS resulta em memória ilimitada
crescimento (CVE-2019-9514)

* netty: HTTP / 2: flood usando quadros PING resulta em crescimento ilimitado de memória
(CVE-2019-9512)

* netty: HTTP / 2: flood usando quadros SETTINGS resulta em memória ilimitada
crescimento (CVE-2019-9515)

* netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado
pelo segundo cabeçalho Content-Length (CVE-2019-20445)

* cxf-core: cxf: não restringe o número de anexos de mensagens
(CVE-2019-12406)

* cxf-core: cxf: o serviço de token OpenId Connect não valida corretamente
o clientId (CVE-2019-12423)

* cxf-core: cxf: XSS refletido na página de listagem de serviços
(CVE-2019-17573)

* jackson-databind: carece de determinado bloqueio net.sf.ehcache (CVE-2019-20330)

* jackson-databind: Falta certo bloqueio xbean-reflect / JNDI
(CVE-2020-8840)

* jackson-databind: manipula mal a interação entre serialização
gadgets e digitação que podem resultar na execução remota de comandos
(CVE-2020-10672)

* jackson-databind: manipula mal a interação entre serialização
gadgets e digitação que podem resultar na execução remota de comandos
(CVE-2020-10673)

* jackson-databind: Gadgets de serialização no núcleo anteros (CVE-2020-9548)

* jackson-databind: Gadgets de serialização em commons-geléia: commons-geléia
(CVE-2020-11620)

* jackson-databind: Gadgets de serialização no ibatis-sqlmap (CVE-2020-9547)

* jackson-databind: Gadgets de serialização no javax.swing.JEditorPane
(CVE-2020-10969)

* jackson-databind: gadgets de serialização no
org.aoju.bus.proxy.provider. *. RmiProvider (CVE-2020-10968)

* jackson-databind: gadgets de serialização no
org.apache.activemq.jms.pool.XaPooledConnectionFactory (CVE-2020-11111)

* jackson-databind: gadgets de serialização no
org.apache.commons.proxy.provider.remoting.RmiProvider (CVE-2020-11112)

* jackson-databind: gadgets de serialização no
org.apache.openjpa.ee.WASRegistryManagedRuntime (CVE-2020-11113)

* jackson-databind: Gadgets de serialização no org.springframework: spring-aop
(CVE-2020-11619)

* jackson-databind: Gadgets de serialização no shaded-hikari-config
(CVE-2020-9546)

* jackson-databind: serialização em
com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool
(CVE-2020-14062)

* jackson-databind: serialização no weblogic / oracle-aqjms (CVE-2020-14061)

* jackson-databind: serialização em
oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (CVE-2020-14060)

netty: codecs de compressão / descompressão não impõem limites no buffer
tamanhos de alocação (CVE-2020-11612)

* quartz: libquartz: XXE ataques via descrição do trabalho (CVE-2019-13990)

* keycloak: problema de segurança no fluxo de redefinição de credenciais (CVE-2020-1718)

Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação e outras informações relacionadas, consulte as páginas CVE listadas em
a seção Referências.

3. Solução:

Para instalações locais, antes de aplicar a atualização, faça backup do seu
instalação existente, incluindo todos os aplicativos, arquivos de configuração,
bancos de dados e configurações de banco de dados, e assim por diante.

Recomenda-se interromper o servidor parando o aplicativo JBoss
Processo do servidor antes de instalar esta atualização; depois de instalar a atualização,
reinicie o servidor iniciando o processo do JBoss Application Server.

A seção Referências desta errata contém um link para download (você deve
faça o login para baixar a atualização).

4. Bugs corrigidos (https://bugzilla.redhat.com/):

1735645 - CVE-2019-9512 HTTP / 2: inundação usando quadros PING resulta em crescimento ilimitado de memória
1735744 - CVE-2019-9514 HTTP / 2: inundação usando quadros HEADERS resulta em crescimento ilimitado de memória
1735745 - CVE-2019-9515 HTTP / 2: inundação usando quadros SETTINGS resulta em crescimento ilimitado da memória
1735749 - CVE-2019-9518 HTTP / 2: inundação usando quadros vazios resulta em consumo excessivo de recursos
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1767483 - CVE-2019-10086 apache-commons-beanutils: não suprime a propriedade de classe em PropertyUtilsBean por padrão
1793154 - CVE-2019-20330 jackson-databind: carece de determinados bloqueios net.sf.ehcache
1796225 - CVE-2020-7238 netty: Contrabando de solicitação HTTP devido a manipulação incorreta de espaço em branco de codificação de transferência
1796756 - capa de teclado CVE-2020-1718: problema de segurança no fluxo de redefinição de credenciais
1797006 - CVE-2019-12423 cxf: o serviço de token do OpenId Connect não valida corretamente o clientId
1797011 - CVE-2019-17573 cxf: XSS refletido na página de listagem de serviços
1798509 - CVE-2019-20445 netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado pelo segundo cabeçalho Content-Length
1798524 - CVE-2019-20444 netty: contrabando de solicitação HTTP
1801149 - CVE-2019-13990 libquartz: XXE ataques via descrição do trabalho
1815470 - CVE-2020-10673 jackson-databind: manipula incorretamente a interação entre dispositivos de serialização e digitação, o que poderia resultar na execução remota de comandos
1815495 - CVE-2020-10672 jackson-databind: manipula incorretamente a interação entre dispositivos de serialização e digitação, o que pode resultar na execução remota de comandos
1816170 - CVE-2019-12406 cxf: não restringe o número de anexos de mensagens
1816216 - CVE-2020-11612 netty: codecs de compactação / descompactação não impõem limites nos tamanhos de alocação de buffer
1816330 - CVE-2020-8840 jackson-databind: Falta certo bloqueio xbean-reflect / JNDI
1816332 - CVE-2020-9546 jackson-databind: Gadgets de serialização em shaded-hikari-config
1816337 - CVE-2020-9547 jackson-databind: gadgets de serialização no ibatis-sqlmap
1816340 - CVE-2020-9548 jackson-databind: gadgets de serialização no núcleo anteros
1819208 - CVE-2020-10968 jackson-databind: Gadgets de serialização no org.aoju.bus.proxy.provider. *. RmiProvider
1819212 - CVE-2020-10969 jackson-databind: Gadgets de serialização no javax.swing.JEditorPane
1821304 - CVE-2020-11111 jackson-databind: Gadgets de serialização em org.apache.activemq.jms.pool.XaPooledConnectionFactory
1821311 - CVE-2020-11112 jackson-databind: Gadgets de serialização em org.apache.commons.proxy.provider.remoting.RmiProvider
1821315 - CVE-2020-11113 jackson-databind: Gadgets de serialização em org.apache.openjpa.ee.WASRegistryManagedRuntime
1826798 - CVE-2020-11620 jackson-databind: Gadgets de serialização em commons-jelly: commons-jelly
1826805 - CVE-2020-11619 jackson-databind: Gadgets de serialização na estrutura da fonte org: spring-aop
1848960 - CVE-2020-14060 jackson-databind: serialização em oadd.org.apache.xalan.lib.sql.JNDIConnectionPool
1848962 - CVE-2020-14062 jackson-databind: serialização em com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool
1848966 - CVE-2020-14061 jackson-databind: serialização em weblogic / oracle-aqjms

5. Referências:

https://access.redhat.com/security/cve/CVE-2019-9512
https://access.redhat.com/security/cve/CVE-2019-9514
https://access.redhat.com/security/cve/CVE-2019-9515
https://access.redhat.com/security/cve/CVE-2019-9518
https://access.redhat.com/security/cve/CVE-2019-10086
https://access.redhat.com/security/cve/CVE-2019-12406
https://access.redhat.com/security/cve/CVE-2019-12423
https://access.redhat.com/security/cve/CVE-2019-13990
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-17573
https://access.redhat.com/security/cve/CVE-2019-20330
https://access.redhat.com/security/cve/CVE-2019-20444
https://access.redhat.com/security/cve/CVE-2019-20445
https://access.redhat.com/security/cve/CVE-2020-1718
https://access.redhat.com/security/cve/CVE-2020-7238
https://access.redhat.com/security/cve/CVE-2020-8840
https://access.redhat.com/security/cve/CVE-2020-9546
https://access.redhat.com/security/cve/CVE-2020-9547
https://access.redhat.com/security/cve/CVE-2020-9548
https://access.redhat.com/security/cve/CVE-2020-10672
https://access.redhat.com/security/cve/CVE-2020-10673
https://access.redhat.com/security/cve/CVE-2020-10968
https://access.redhat.com/security/cve/CVE-2020-10969
https://access.redhat.com/security/cve/CVE-2020-11111
https://access.redhat.com/security/cve/CVE-2020-11112
https://access.redhat.com/security/cve/CVE-2020-11113
https://access.redhat.com/security/cve/CVE-2020-11612
https://access.redhat.com/security/cve/CVE-2020-11619
https://access.redhat.com/security/cve/CVE-2020-11620
https://access.redhat.com/security/cve/CVE-2020-14060
https://access.redhat.com/security/cve/CVE-2020-14061
https://access.redhat.com/security/cve/CVE-2020-14062
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=rhpam&version=7.8.0
https://access.redhat.com/documentation/en-us/red_hat_process_automation_manager/7.8/html/release_notes_for_red_hat_process_automation_manager_7.8/index

6. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXyEV1dzjgjWX9erEAQgYqg // W8 + uX6tA / 8C8kHcpUhMmZrh4v4StTrBt
vHATCrdtyhuIekFtf1cHPOUHqJZ7hJ7 + 793fjn8peQCagr6SnWFQm3TkXBg8i1Ds
c5yiQ / pPqftsVCXu9HMXTBgwuARVByCbeFRT / RNTEALhXLSPaeB7PbjKFKzG7LTS
alCWdNPfMmigKE / FLJV4J8XI4kcL + JBOaU3nwvVAcVcoX3QbNei5e6XaJjeQHI + 6
5m90ErHnEbwuLFj9Mr / uPzswly9M56CdDPSVlUJgVjtz4bTf5aRjrpSFcNIAr + x3
T32 + dtMQq2QJde8NCx9YyX4IM3P0cQmqKAKkVqmgdlGbvUueg + 8LYMcDrICzKneW
FeAeggPfGqGOKB + XtBkO470MZ4TOrjrFd1hPZG9J9jW5Rs0J4TE5MqlPemQUq8ao
oPFcYTcLDMOxFTrHehtSWK0R3 / n7 + 84hR0XRZ1Tn8DQld / q + 9kUrqUpzodQtCSwP
TNVemfgvgCSXFbhd / Lao + eh + iJHGgk7W12IGfSj / JHz0EL + p6FphhsJba3JsmrQb
OqSFJCK + ogM6mOXWKKkdP5w3IMoDZthsU8Cb0hchU6uqjtygq8pGKIJHUmNGgb1z
PVYE9lvm3sFmSbatvYvXubiDT1zr5hKPEftm9kCcJAcKx0YwBMfn818bIM16iC3W
WxdtuEGgYDk =
= i6Ml
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com

https://www.redhat.com/mailman/listinfo/rhsa-announce


Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário